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摘 E: 


\ 可 用 性 3 个 维度 探究 科学 数据 安全 治理 措施 。 


[ 目的 /意义 ] 揭示 科学 数据 开放 共享 中 的 数据 安全 问题 ,提出 相应 的 治理 对 策 , 以 更 好 地 促进 我 国 科学 数据 开放 
共享 实践 。 [方法 “过程 ] 运 用 规范 分 析 法 ,梳理 与 界定 科学 数据 开放 共享 中 的 数据 安全 问题 ,然后 从 机 密 性 、 完 整 
性 结果 /结论 ] 科 学 数据 开放 共享 在 数据 机 密 性 、 完 整 性 和 可 用 


性 方面 存在 许多 安全 问题 。 加 强 数 据 安全 立法 、 建 立 科 学 数据 分 级 分 类 标准 与 系统 、 充 分 利用 隐私 增强 技术 3 项 
措施 可 以 治理 数据 机 密 性 问题 ;建立 数据 保护 官制 度 、 实 施 数 据 保护 影响 评估 、 运 用 数据 认证 技术 3 项 措施 可 以 
治理 数据 完整 性 问题 ;制定 科学 数据 可 用 性 政策 、 提 高 科学 数据 质量 、 构 建 基于 数据 联盟 的 国家 科学 数据 中 心 3 


v 项 措施 可 以 治理 数据 可 用 性 问题 。 
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1 言 

人 大 数据 时 代 , 数 据 作为 支撑 与 推动 各 国产 业 与 创 
新 物 展 的 核心 资产 ,受到 前 所 未 有 的 重视 与 保护 。 数 
据 祖 放 共享 与 数据 安全 治理 成 为 “一 个 硬币 的 两 面 ”， 
也 是 各 国政 策 法 律 关 注 的 焦点 "1 。 被 誉 为 "史上 最 严 
Fic p oie COE BP P A DL) ( Gener- 
al Dita Protection Regulation, GDPR) ) F 2018 年 5 H 25 
日 正式 实施 ,成 为 全 球 数据 安全 保护 的 重要 标杆 。 在 
GDPR 基础 上 ,英国 颁布 了 《2018 数据 保护 法 》( Data 
Protection Act 2018) ;我 国 已 经 颁布 实施 了 《中 华人 民 
共和 国 国家 安全 法 》( 以 下 简称 为 《国家 安全 法 》) 《中 
华人 民 共 和 国 网 络 安全 法 》( 以 下 简称 为 《网 络 安全 
法 》) ,《 个 人 信息 保护 法 《中 华人 民 共和 国 数据 安全 


安全 风险 治理 数据 隐私 管理 大 数据 隐私 与 安 
全 政策 "等 主题 进行 了 广泛 探索 。 然 而 , 鲜 见 成 果 深 
人 论述 科学 数据 开放 共享 中 的 数据 安全 治理 问题 。 事 
实 上 ,数据 安全 治理 与 数据 安全 管理 是 两 个 不 同 概念 。 
数据 安全 管理 是 对 安全 策略 和 程序 的 规划 、 开 发 和 执 
行 , 以 提供 数据 和 信息 资产 的 适当 认证 ,授权 ,访问 和 
F 计 。 数 据 安全 管理 的 基本 目标 是 要 确保 合适 的 人 以 
正确 的 方式 使 用 和 更 新 数据 ,并 限制 所 有 不 适当 的 访 
问 和 更 新 数据 ;数据 安全 管理 的 最 终 目 标 是 保护 数据 
资产 符合 隐私 与 保密 法 规 要 求 ,并 与 业务 要 求 相 一 
致 “ 。 数 据 安 全 治理 是 维护 组 织 数据 资产 的 机 密 性 、 
完整 性 和 可 用 性 的 系统 ,包括 管理 承诺 和 领导 、 组 织 结 
构 .用户 意识 和 承诺 MR ,程序 .流程 .技术 和 合 规 执 
UI T ;也 是 对 数据 安全 进行 综合 治理 的 过 程 , 它 


m 


法 》( 以 下 简称 《数据 安全 法 》) 也 被 纳入 十 三 届 全 国人 
大 常委 会 的 立法 规划 《数据 安全 管理 办 法 》 已 于 2019 
年 6 月 28 日 完成 了 公开 征求 意见 。 数 据 安全 被 快速 
提升 到 重要 高 度 ,每 个 人 、 每 个 企业 、 每 个 行业 都 无 法 
HARAN 。 近 几 年 来 ,人 们 已 经 对 科学 数据 开放 共 
享 ” 人 开放 数据 保护 数字 数据 保护 "数据 安全 
管理 "数据 安全 治理 * ”数据 保护 与 治理 "数据 


需要 从 决策 层 到 技术 层 、 从 管理 制度 到 工具 支撑 , 自 上 
而 下 在 各 个 层级 之 间 对 数据 安全 治理 的 目标 达成 共 
38 ,确保 采取 合理 和 适当 的 措施 ,以 最 有 效 的 方式 保护 
数据 资产 "9 。 数 据 安 全 治理 的 主要 目标 是 确保 组 织 
数据 资产 的 安全 性 ,并 实现 数据 资产 的 保值 与 增值 。 
数据 安全 管理 的 主要 业务 活动 是 理解 组 织 数 据 需 求 和 
监管 要 求 ;定义 数据 安全 策略 和 标准 ;定义 数据 安全 控 
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制 及 措施 ;管理 用 户 和 密码 及 访问 权限 ; 监控 用 户 身份 
认证 和 访问 行为 ;划分 数据 与 信息 等 级 ;审计 数据 安 
全 50- 四。 而 数据 安全 治理 的 主要 业务 活动 是 理解 
组 织 数 据 安全 战略 需求 ;发 展 和 维护 组 织 数 据 安全 战 
略 ;建立 数据 安全 治理 机 构 与 制度 ;任命 数据 安全 管理 
专员 ;制定 并 审核 数据 安全 政策 .标准 和 程序 ;协调 数 
据 安全 治理 活动 ;解决 数据 安全 相关 问题 ;监督 数据 安 
全 管理 项 目 与 服务 ;评估 数据 资产 价值 ; 监控 合 规 行 
为 。 由 此 看 来 ,尽管 数据 安全 管理 与 数据 安全 治理 有 
内 在 联系 ,但 两 者 在 主要 目标 .业务 活动 等 方面 存在 明 
显 差异 。 总 之 ,数据 安全 管理 为 数据 安全 治理 商定 基 
础 ,数据 安全 治理 为 数据 安全 管理 提供 保障 。 由 于 解 
决 数据 安全 问题 对 于 我 国 实施 科学 数据 开放 共享 至 关 
副 要 ,在 目前 对 科学 数据 开放 共享 中 的 数据 安全 治理 
站 题 摧 少 相 关 研究 的 情况 下 ,本 文 将 在 界定 科学 数据 
Fit 
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进 种 学 数据 开放 共享 和 开放 创新 。 


2 马 科 学 数据 开放 共享 中 数据 安全 问题 的 


CI 欧洲 委员 会 要 求 ,开放 研究 数据 试验 项 目 必须 保 
存 那些 支持 发 表 在 同行 评审 出 版 物 上 的 研究 结果 的 数 
据 和 他 们 定义 的 其 他 数据 ,最 好 是 存 人 研究 数据 存储 
麻 g 放 采取 措施 使 这 些 研究 数据 能 被 第 三 方 访问 、 控 
据 C 利 用 、 重 新 制作 和 被 任何 用 户 免费 传播 ”。2018 
年 本 月 17 日 ,国务 院 办 公 厅 颁布 了 《科学 数据 管理 办 
法 归 以 促进 科学 数据 的 开放 共享 。 那 么 ,在 科学 数据 
开放 共享 过 程 ( 即 开放 获取 ,开放 存储 、 开 放 发 布 . 开 放 
利用 ) 中 ,数据 安全 就 成 为 一 个 不 可 忽视 的 问题 。 这 首 
先 需要 对 数据 安全 概念 和 科学 数据 开放 共享 存在 哪些 
主要 的 数据 安全 问题 有 深入 的 认识 。 
2.1 数据 安全 概念 与 内 洒 

数据 安全 是 一 门 研究 如 何 保护 计算 机 和 通信 系统 
中 的 数据 免 受 未 经 授权 的 泄露 和 修改 的 科学 ,包含 密 
码 控制 .访问 控制 .信息 流 控制 .推理 控制 等 4 种 控制 
活动 以 及 备份 和 恢复 过 程 '” 。 数 据 安全 可 分 为 物理 、 
人 员 .程序 与 技术 4 个 维度 , 见 表 1 。 

经 典 的 数据 安全 需求 是 数据 机 密 性 ` 完 整 性 和 可 
用 性 等 ,其 目的 是 防止 数据 在 传输 ,存储 等 环节 中 被 泄 
露 或 破坏 '”) 。 数 据 机 密 性 意味 着 一 个 安全 系统 仅 允 
许 个 人 看 到 其 可 以 看 到 的 数据 ,包括 保证 数据 通信 的 


RI 数据 安全 维度 
维度 安全 问题 
物理 。 未 经 授权 的 用 户 必须 在 物理 上 无 法 访问 你 的 计算 机 。 这 意味 着 

你 必须 将 数据 保存 在 安全 的 物理 环境 中 
AR 负责 系统 管理 和 数据 安全 的 人 员 必 须 是 可 靠 的 , 且 在 雇用 数据 库 
管理 员 前 需要 检查 其 背景 


程序 ” 系统 运行 中 使 用 的 程序 能 够 确保 可 靠 的 数据 
技术 ”数据 的 存储 .访问 .操作 和 传输 必须 受到 技术 保护 ,这 些 技术 可 以 
增强 特定 信息 控制 策略 

隐私 实现 敏感 数据 的 安全 存储 、 能 够 验证 有 效 的 用 户 
和 实施 粒度 访问 控制 。 数 据 完整 性 是 指数 据 的 一 致 
性 .正确 性 .有效 性 和 相 容 性 ,意味 着 数据 存储 在 数据 
库 中 或 通过 网 络 传输 数据 时 ,能 够 得 到 保护 而 不 被 删 
除 和 损坏 。 数 据 可 用 性 意味 着 一 个 安全 系统 授权 用 户 
可 以 不 受 延 迟 地 访问 数据 。 由 于 数据 或 信息 是 现代 组 
织 的 核心 资产 ,其 机 密 性 、 完 整 性 和 可 用 性 是 21 世纪 
任何 组 织 长 期 生存 的 基础 ,所 以 任何 组 织 除非 采取 全 
面 和 系统 的 办 法 来 保护 其 数据 或 信息 的 机 密 性 、 完 整 
性 和 可 用 性 ,否则 它们 将 容易 受到 各 种 可 能 的 威 
肋 ”: 。 这 包括 威胁 数据 安全 的 多 种 情形 ,比如 硬盘 驱 
动 器 损坏 、 人 为 错误 或 操作 失误 .黑客 人 侵 病毒 感染 、 
PADR .自然 灾害 .电源 故障 、 磁 干扰 等 。 不 过 ,数据 
安全 需要 澄清 和 纠正 过 去 一 些 安全 神话 ORKE 
成 了 大 多 数 安全 漏洞 。 事 实 上 ,80% 的 数据 损失 是 由 
内 部 人 士 造 成 的 。@ 加 密使 你 的 数据 安全 。 事 实 上 ， 
加 密 只 是 保护 数据 的 一 种 方法 。 安 全 性 还 需要 访问 控 
制 数据 完整 性 .系统 可 用 性 和 审核 。@@ 防 火 墙 使 你 的 
数据 安全 。 事 实 上 ,40% 的 互联 网 入 侵 者 都 是 在 设置 
了 防火 墙 的 情况 下 发 生 的 。 
2.2 ”科学 数据 开放 共享 中 的 数据 安全 问题 

科学 数据 开放 共享 中 的 数据 安全 问题 同样 体现 在 
数据 机 密 性 、 完 整 性 和 可 用 性 3 方面 。 
2.2.1 有 关 科 学 数据 机 密 性 的 安全 问题 

科学 数据 开放 共享 需要 保证 科学 数据 的 机 密 性 。 
目前 在 科学 数据 开放 共享 中 ,涉及 机 密 性 的 数据 安全 
问题 主要 包括 :也 隐私 泄露 ,缺少 有 效 的 隐私 保护 , 比 
如 公共 卫生 领域 的 许多 研究 涉及 医疗 记录 和 病史 ,这 
使 得 在 开放 共享 研究 成 果 的 同时 保护 患者 的 隐私 变 得 
非常 困难 。 避 匿名 数据 并 不 十 分 安全 。 开 放 共 享 将 使 
数据 控制 者 失去 对 谁 可 以 访问 数据 的 控制 。 即 使 是 匿 
名 的 数据 ,也 可 以 显示 出 有 关 数 据 主体 的 私人 信息 ,或 
可 能 仍然 包含 与 个 人 有 关 的 敏感 信息 ,通过 将 这 些 数 
据 与 其 他 可 公开 获得 的 信息 联系 起 来 ,可 以 重新 确定 
个 人 的 身份 ”” ,因此 匿名 数据 并 不 完全 安全 ™。 
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@@ 科 学 数据 开放 共享 与 个 人 数据 保护 存在 某 种 程度 的 
冲突 。 开 放 共 享 需要 把 包含 个 人 信息 的 科学 数据 存储 
在 开放 数据 知识 库 中 ,能 让 用 户 不 受 任何 限制 地 获取 、 
挖掘 ,复制 ,传播 和 利用 。 这 显然 与 个 人 数据 保护 原则 
相 冲 突 *”。@ 缺 少数 据 分 类 分 级 规范 和 标准 。 目 前 
我 国 尚 缺 少 对 数据 开放 共享 的 顶层 设计 ,尚未 建立 政 
府 数据 .科学 数据 分 类 分 级 的 规范 和 标准 ,无 法 有 效 识 
别 重要 数据 、 敏 感 数据 和 隐私 数据 ,缺少 针对 不 同类 型 
数据 开放 的 指导 原则 呈 。@) 知 识 产权 保护 机 制 不 完 
善 ,比如 :数字 科学 数据 知识 产权 难以 界定 ;缺乏 
科学 数据 开放 共享 的 法 律 框架 ; 某 些 数据 共享 和 数据 
使 用 权 的 法 律 条 款 相互 矛盾 ”3 。@ 没 有 采用 有 效 的 
数据 安全 保护 技术 ,如 没有 采用 数据 加 密 或 增强 隐私 
等 接 术 对 科学 数据 实施 有 效 的 保护 。 
2 有 关 科 学 数据 完整 性 的 安全 问题 
< 十 科学 数据 开放 共享 需要 确保 科学 数据 的 完整 性 ， 
临 如 下 一 些 关键 挑战 : D 数 据 格 式 不 标准 .不 一 
Sy S BHRUR Se E .过 于 复杂 ,数据 软件 不 兼容 。@ 科 
尝 铬 据 结果 冲突 ,如 利用 同一 数据 在 相同 条 件 下 产生 
的 研究 结果 相 矛 盾 ,存储 在 不 同系 统 中 的 相似 数据 产 
9 同 的 结果 ”1 。@ 数 据 污染 ,如 数据 失真 ,数据 造 
[COR EH UU. DAR EIUS HOC dae A a 
相沿 为 了 商业 利益 或 其 他 不 良 目的 ,可 能 窃取 开放 共 
豪 蕴 科学 数据 , 既 不 说 明 数 据 的 来 源 ,也 不 标注 数据 参 
涛 说 文献 ,甚至 使 科学 数据 失去 可 靠 性 。@ 数 据 滥用 。 
开 庆 共享 的 科学 数据 为 不 法 之 徒 滥 用 数据 提供 了 可 
能 < 比如 泄露 科学 数据 中 涉及 的 敏感 个 人 信息 ,商业 机 
密 或 国家 情报 来 换取 商业 报酬 。@ 数 据 丢失 ,比如 :部 
分 辅助 数据 缺失 或 不 全 面 ,历史 数据 丢失 严重 ; 因 
研究 笔记 本 被 丢弃 造成 的 原始 数据 遗失 ;计算 机 硬盘 
崩溃 造成 的 数据 损坏 ;数字 媒介 随 着 时 间 的 推移 出 现 
的 衰退 等 。 
2.2.3 ”有 关 科 学 数据 可 用 性 的 安全 问题 

科学 数据 开放 共享 需要 保证 科学 数据 的 可 用 性， 
其 安全 问题 主要 包括 :科学 数据 没有 得 到 妥善 记录 
和 处 理 。 许 多 科学 数据 集 可 能 从 一 开始 就 没有 被 记录 
和 存储 下 来 ,从 而 不 能 再 使 用 。 芬 兰 社会 科学 数据 档 
案 馆 调 查 发 现 ,54% 受 访 者 认为 对 数据 可 用 性 (如 不 完 
整 的 文档 ) 的 担心 是 使 得 数据 在 其 领域 没有 再 利用 的 
重要 原因 吕 。@ 个 人 数据 用 于 科学 研究 受到 较 强 限 
制 。 科 学 研究 豁免 不 能 使 个 人 数据 的 处 理 合法 化 ,只 
能 使 较 长 的 存储 周期 合法 化 或 进一步 的 处 理 合法 


4E ^ 7 。 研 究 者 在 处 理 个 人 数据 时 必须 得 到 数据 所 


有 者 的 同意 。 包 缺少 完善 的 科学 数据 开放 共享 平台 ， 
司 内 科学 数据 共享 平台 建设 整体 情况 不 优 ,网 站 功能 
较为 单一 ,可 浏览 、 检 索 、 获 取 的 数据 资源 较 少 ” 。 
人 巾 数 据 间 彼 此 孤立 ,数据 更 新 没有 保障 ,数据 可 用 性 较 
差 。@@ 数 据 权 利 模糊 ,缺少 有 效 授 权 。 有 关 科 学 数据 
的 知情 权 、 采 人 集权、 所有权、 保存 权 、 使 用 权 等 数据 权益 
归属 目前 模糊 不 清 , 没 有 得 到 法 律 的 有 效 界 定 ” ,也 
未 解决 多 作者 数据 共有 权 问 题 。 芬 兰 社会 科学 数 
据 档案 馆 调查 发 现 ,47% 的 受 访 者 认为 ,缺乏 所 有 权 协 
议 是 数据 不 被 重复 使 用 的 一 个 重要 原因 ; 三 分 之 二 
(66% ) 的 受 访 者 认为 , “缺乏 知情 同意 ”是 开放 获取 人 研 
究 数 据 的 一 个 主要 障碍 ;48% 的 人 认为 开放 获取 增加 
了 与 机 密 性 .研究 道德 和 数据 保护 有 关 的 风 
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3 科学 数据 开放 共享 中 的 数据 安全 治理 
模型 构建 


为 解决 上 述 种 种 科学 数据 开放 共享 中 的 数据 安全 
问题 ,加 强 数 据 安全 治理 是 一 种 应 然 的 选择 。 由 于 上 
述 数 据 安 全 问题 既 涉 及 科学 数据 开放 共享 的 许多 主要 
活动 ,比如 科学 数据 的 开放 履 取 、 开 放 存 储 、 开 放 发 布 、 
开放 利用 (如 开放 引用 ) 等 ,又 涉及 数据 安全 治理 的 许 
多 关键 环节 ,包括 数据 产权 保护 数据 隐私 保护 、 数 据 
安全 监控 数据 质量 监控 数据 设施 建设 数据 人 员 管 
H 数据 安全 技术 开发 与 应 用 等 ,因此 ,这 里 借鉴 迈克 
尔 - 波 特 (M.E. Porter) 的 价值 链 模型 ” ,构建 了 科学 
数据 开放 共享 数据 安全 治理 模型 ,如 图 1 所 示 : 


AFERA 


图 1 科学 数据 开放 共享 数据 安全 治理 模型 


该 模型 的 主要 特征 和 价值 是 :中 贯彻 了 价值 链 思 
想 。 该 模型 将 科学 数据 开放 共享 价值 链 的 主要 活动 概 
括 为 开放 获取 、 开 放 存 储 、 开 放 发 布 和 开放 利用 ,并 把 
科学 数据 开放 共享 中 的 各 种 数据 安全 治理 对 策 作 为 科 
学 数据 开放 共享 价值 链 的 辅助 活动 ,从 数据 安全 需求 
维度 整合 了 这 些 主 要 活动 与 辅助 活动 ,使 科学 数据 开 
放 共享 中 的 数据 安全 问题 与 治理 对 策 融 为 一 体 。@) 强 
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调 了 问题 导向 。 该 模型 以 科学 数据 的 机 密 性 、 完 整 性 
和 可 用 性 需求 为 导向 ,构建 了 面向 不 同 数据 安全 需求 
的 数据 安全 治理 对 策 , 使 科学 数据 开放 共享 中 可 能 
现 的 各 种 数据 安全 问题 都 可 找到 合适 的 治理 对 策 。 
(强调 了 关联 互动 与 集成 。 该 模型 形成 了 一 个 覆盖 主 
要 科学 数据 开放 共享 活动 的 相互 关联 的 数据 安全 治理 
体系 ,能 够 适用 于 各 种 科学 数据 开放 共享 环境 。 


4 科学 数据 开放 共享 中 的 数据 安全 治理 
对 策 


基于 上 述 的 数据 安全 治理 模型 ,可 以 从 机 密 性 、 完 
整 性 ,可 用 性 3 个 维度 解析 数据 安全 治理 对 策 , 以 促进 
科学 数据 开放 共享 。 

4^. 面向 数据 机 密 性 的 治理 对 策 

AI 由 于 科学 数据 开放 共享 遇 到 的 数据 机 密 性 问题 既 
涉及 到 管理 机 制 不 健全 ,如 缺少 数据 保护 法 缺少 数据 
和 分 级 标准 ,也 涉及 到 数据 保护 技术 不 到 位 ,如 存在 
CEDERE 没有 采用 增强 隐私 技术 等 ,因此 ,这 里 从 立 
法 > 管理 与 技术 3 方面 提出 3 种 治理 措施 。 

AOA 加 强 数据 安全 立法 ,夯实 科学 数据 安全 治理 的 
Ea nt 

GAU 为 有 效 保护 数据 安全 ,欧盟 2016 颁布 了 GDPR , 德 
国 2017 年 通过 了 新 版 《德国 联邦 数据 保护 法 》, 英 国 
018 年 通过 了 新 版 (数据 保护 法 》。 尽 管 我 国 已 制定 
实 顺 了 《国家 安全 法 兴 网 络 安全 法 )《 科 学 数据 管理 办 
法 ;有 ,但 迄今 为 止 没有 颁布 一 部 专门 的 《数据 安全 
法 或 (数据 保护 法 》。2015 年 7 月 1 日 开始 实施 的 
《国家 安全 法 》 构 建 了 集 政治 安全 、 国 土 安全 ,军事 安 
全 ,经济 安 全 ,文化 安全 .社会 安全 .科技 安全 、 网 络 与 
信息 安全 ,生态 安全 ,资源 安全 ,太空 安全 ,深海 安全 、 
极地 安全 , 核 安全 等 于 一 体 的 国家 安全 体系 ,但 该 
法 没有 明确 政府 ,机 构 或 个 人 如 何 保障 科学 数据 的 安 
全 。2017 年 6 H 1 日 起 施行 的 《网 络 安全 法 》 规 范 了 
网 络 层面 的 安全 要 求 ,如 明确 要 求 需要 维护 网 络 数据 
的 完整 性 ,保密 性 和 可 用 性 ;网 络 运营 者 应 当 保障 网 络 
免 受 干扰 破坏 或 者 未 经 授权 的 访问 ,防止 网 络 数据 泄 
露 或 者 被 窃取 自 改 ,不 得 泄露 . 算 改 .毁损 其 收集 的 个 
人 信息 ,未 经 被 收集 者 同意 ,不 得 向 他 人 提供 个 人 信 
息 ;任何 个 人 和 组 织 不 得 从 事 窃取 网 络 数据 等 危害 网 
络 安全 的 活动 ,不 得 提供 专门 用 于 从 事 侵入 网 络 .干扰 
网 络 正常 功能 及 防护 措施 窃取 网 络 数据 等 危害 网 络 
安全 活动 的 程序 .工具 5 等 ,但 它 难以 系统 性 解决 数 


据 安 全 保障 问题 ”。2018 年 3 月 17 日 颁布 实施 的 
《科学 数据 管理 办 法 》 明 确 规定 :涉及 国家 秘密 、 国 家 
安全 ,社会 公共 利益 、 商 业 秘 密 和 个 人 隐私 的 科学 数 
据 ,不 得 对 外 开放 共享 ; 确 需 对 外 开放 的 ,要 对 利用 目 
的 .用 户 资 质 \ 保 密 条 件 等 进行 审查 ,并 严格 控制 知悉 
范围 ;主管 部 门 和 法 人 单位 应 建立 健全 涉及 国家 秘密 
的 科学 数据 管理 与 使 用 制度 ,对 制作 .审核 .登记 、 拷 
贝 传输 .销毁 等 环节 进行 严格 管理 ; 主管 部 门 和 法 人 
单位 应 加 强 科 学 数据 全 生命 周期 安全 管理 ,制定 科学 
数据 安全 保护 措施 ,加强 数据 下 载 的 认证 .授权 等 防护 
管理 ,防止 数据 被 恶意 使 用 ; 主管 部 门 和 法 人 单位 对 于 
需 对 外 公布 或 提供 的 科学 数据 应 建立 相应 的 安全 保密 
审查 制度 ;法 人 单位 和 科学 数据 中 心 应 建立 网 络 安全 
保障 体系 ,健全 防 算 改 、 防 泄露. 防 攻击 、 防 病毒 等 安全 
防护 体系 ;科学 数据 中 心 应 建立 应 急 管理 和 容 灾 备份 
机 制 以 及 应 急 管理 系统 ,对 重要 的 科学 数据 进行 异地 
1137 。 然 而 《科学 数据 管理 办 法 》 并 没有 明确 在 不 
同 科 学 数据 生命 周期 阶段 如 何 实施 有 效 的 数据 安全 管 
理 , 更 没有 针对 科学 数据 开放 共享 行为 规划 数据 安全 
治理 措施 。 因 此 ,科学 数据 开放 共享 中 的 数据 安全 问 
题 仍 缺少 充足 的 法 律 保障 。 

这 种 现象 已 经 引起 了 立法 机 构 政府 部 门 和 专家 
的 重视 。2019 年 5 月 28 日 ,国家 互联 网 信息 办 公 室 
关于 《数据 安全 管理 办 法 (征求 意见 稿 )》 公 开征 求 意 
见 的 通知 "对 外 公开 发 布 。 该 征求 意见 稿 主要 规范 了 
网 络 运营 者 在 境内 利用 网 络 收集 ,存储 传输、 处 理 、 使 
晶 数 据 的 行为 以 及 数据 安全 监管 要 求 ” ,有 助 于 强化 
和 明确 网 络 运 营 者 在 保障 数据 安全 方面 的 责任 ,并 有 
效 发 挥 其 作用 。 但 是 , 它 仍 无 法 全 面 解决 科学 数据 开 
放 共 享 中 的 数据 安全 问题 ,主要 缺陷 之 一 是 它 没有 规 
范 其 他 利益 相关 者 (如 数据 生产 者 、 组 织 者 、 使 用 者 
等 ) 在 确保 数据 安全 上 的 责任 与 监督 保障 机 制 。 可 喜 
的 是 ,2020 年 6 月 28 -30 日 ,第 十 三 届 全 国人 大 常 
委 会 第 二 十 次 会 议 审议 了 《数据 安全 法 (草案 )》, 并 
于 2020 年 7 月 2 日 向 社会 公布 ,征求 公众 意见 。《 数 
据 安全 法 (草案 )》 共 7 章 51 条 ,涉及 总 则 .数据 安全 
与 发 展 .数据 安全 制度 .数据 安全 保护 义务 .政务 数 
据 安 全 与 开放 、 法 律 责任 等 内 容 。 其 中 ,“ 建 立 健全 
数据 安全 治理 体系 ,提高 数据 安全 保障 能 力 ” 和 “ 
家 建立 健全 数据 安全 协同 治理 体系 ”分 别 被 列 入 第 
四 条 和 第 九条 条 文中 。 总 之 ,希望 国家 尽快 出 台 《 数 
据 安 全 法 》, 以 夯实 我 国 科学 数据 安全 治理 的 法 律 基 
础 。 
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4.1.2 建立 科学 数据 分 级 分 类 标准 与 系统 ,实现 科学 
数据 安全 合理 管控 

数据 分 级 分 类 在 数据 安全 治理 过 程 中 具有 重要 意 
义 。 数 据 分 类 是 根据 数据 的 共同 特征 ,例如 它们 的 敏 
感性 水 平和 风险 以 及 保护 它们 的 合 规 规则 ,将 数据 分 
离 和 组 织 到 相关 组 或 类 的 过 程 ' 2015 年 国务 院 发 
布 的 《促进 大 数据 发 展 行动 纲要 :明确 要 求 “ 推进 数据 
采集 、 政 府 数据 开放 、 指 标 口 径 \、 分 类 目录 、 交 换 接口 、 
访问 接口 .数据 质量 ,数据 交易 ,技术 产品 、 安 全 保密 等 
关键 共性 标准 的 制定 和 实施 ”" 。 我 国 《科学 数据 管 
理 办 法 规定 ,科学 数据 中 心 需 负责 科学 数据 的 分 级 分 
类 加工 整理 和 分 析 挖掘 ;法 人 单位 要 对 科学 数据 进行 
分 级 分 类 ,明确 科学 数据 的 密级 和 保密 期 限 、 开 放 条 
作 s 开 放 对 象 和 审核 程序 等 , 按 要 求 公布 科学 数据 开放 
Ht. bacis a 离线 共享 或 定制 服务 等 方式 向 社 


Apex 。 在 此 背景 下 ,科学 数据 分 级 分 类 管理 
E 多 成 为 王 待 解决 的 一 个 关键 问 是 


己 最 近 ,我 国 工业 和 信息 化 部 颁布 了 (工业 数据 分 类 
AUT CILE ) 率先 在 国内 把 工业 数据 分 为 一 、 
SCE .四 级 ,鼓励 企业 在 做 好 数据 管理 的 前 提 下 适当 
拔 昌 一、 一 级 数据 ,但 一 级 数据 只 对 确 需 获 取 该 级 数据 
的 妥 权 机 构 及 相关 人 员 开 放 , 三 级 数据 原则 上 不 共享 ， 
确 蛮 共享 的 应 严格 控制 知悉 范围 mw; 。 尽 管 工业 数据 
与 妓 学 数据 并 非 同 一 个 概念 ,但 工业 数据 作为 一 种 重 
怠 捕 科学 数据 ,该 指南 可 以 为 制定 科学 数据 分 级 分 类 
ills denn. 

-三 不 过 ,科学 数据 种 类 繁多 ,包括 但 不 限于 :研究 
过 往 中 产生 的 任何 数据 ;对 研究 人 员 进 行 的 研究 有 重 
要 意义 的 任何 记录 数据 ;验证 研究 结果 可 能 需要 的 来 
源 或 主要 资料 ;研究 过 程 中 获得 和 生成 的 数字 对 象 集 ; 
应 用 程序 内 容 (如 分 析 软件 ,模拟 软件 模式 的 输入 和 
输出 等 ) ;数据 库 内 容 ( 视频. 音频、 文本、 图 像 ) ;研究 
项 目的 监管 数据 ;设计 作品 集 和 实物 模型 ;研究 日 志文 
档 ;实验 结果 与 实验 室 笔记 ,现场 笔记 ,日记 内 容 ;参考 
书目 和 阅读 资料 ;电子 表格 ;元 数据 ;方法 和 工作 流程 ; 
模型 .算法 .脚本 ;笔记 .录音 带 .录像 带 ;乐谱 草稿 ;人 
类 .动物 .地 质 资料 ;图 像 或 数据 可 视 化 ;照片 .电影 ; 植 
物资 料 ,细胞 .细菌 ,病毒 样本 或 标本 ;治疗 的 临床 记录 
和 检测 结果 ;蛋白 质 或 基因 序列 ;问卷 .成 绩 单 .密码 
本 ;各 种 采访 记录 ;对 调查 或 问卷 的 回应 ;调查 结果 ; 测 
试 反应 ;光谱 ;标准 操作 程序 和 协议 ;商业 秘密 、 商 业 信 
息 .在 发 布 前 需要 保密 的 资料 ,或 受 法 律 保护 的 类 似 信 
息 。 因 此 ,需要 制定 专门 的 科学 数据 分 级 分 类 标准 。 


2017 年 ,美国 华威 顿 特区 采用 了 一 种 5 级 数据 分 
类 模式 , 即 0 级 (开放 数据 ) .1 级 (公共 数据 ) .2 级 ( 供 
地 方 政府 使 用 的 数据 ) ,3 级 (机 密 数据 ) .4 级 (限制 机 
密 数据 ) 5 ,受到 了 开放 数据 倡导 者 的 广泛 赞扬 。 加 
州 大 学 伯克利 分 校 把 研究 数据 分 为 :1 级 (敏感 性 最 小 
的 , 即 公共 信息 ) .2 级 ( 低 度 敏感 性 , 即 非 公共 、 非 敏感 
的 个 人 身份 信息 ) ,3 级 (中 度 敏 感性 的 个 人 可 识别 信 
息 ) 4 级 (高 度 敏 感 的 个 人 可 识别 信息 ) 5 。 类 似 地 ， 
澳大利亚 新 南 威尔士 大 学 把 数据 分 为 公共 级 、 私 人 级 、 
敏感 级 、 高 度 敏感 级 4 个 层次 “ 。 基 于 这 些 观点 ,可 
以 把 科学 数据 分 为 如 下 4 级 ,如 表 2 所 示 : 

X2 科学 数据 分 级 


等 级 AE yh 
代码 “等 级 措 术 


4 级 高 度 机 密 的 e 受 法 律 法 规 或 合同 保护 而 不 能 公开 的 科学 数据 
科学 数据 国家 安全 有 关 而 不 能 公开 的 科学 数据 
国家 或 机 构 核心 技术 有 关 而 不 能 公开 
一 旦 泄露 将 产生 重大 影响 的 科学 数据 
机 密 的 e 受 法 律 法 规 或 合同 限制 不 得 公开 的 科学 数据 
科学 数据 。 与 商业 秘密 有 关 的 科学 数据 
。 与 隐私 保护 有 关 的 科学 数据 
e 一 旦 泄露 将 产生 中 度 影响 的 科学 数据 
o 仅 在 机 构 范 围 内 可 共享 的 科学 数据 
。 仅 在 项 目 团队 内 可 共享 的 科学 数据 
e 仅 在 “合理 使 用 ”条件 下 可 共享 的 科学 数据 
o 仅 在 特殊 时 期 内 可 共享 的 科学 数据 
1 级 开放 共享 的 。 在 互联 网 上 可 以 被 公众 免费 利用 的 科学 数据 
科学 数据 € 作为 公共 产品 的 科学 数据 
。 一 般 公 开 的 数据 
为 有 效 实 施 科 学 数据 分 级 分 类 ,可 以 利用 “数据 标 
签 ”( datatags ) 来 构建 科学 数据 分 级 分 类 系统 。 该 系统 
XU LCD EA HONR A 数据 安全 属性 、 数 
据 访问 条 件 彼此 关联 起 来 ,建立 一 个 数据 标签 知识 库 以 
人 与 共享 数据 文件 
和 实现 数据 分 级 分 类 管理 ”: 。 基 于 上 述 的 科学 数据 分 
级 表 , 可 以 构建 一 个 具有 4 个 级 别 的 数据 标签 分 级 模型 
( 见 表 3 ) 。 该 模型 用 4 种 不 同 颜色 代表 不 同 的 标签 类 
别 , 对 应 于 不 同 级 别 的 数据 。 随 着 级 别 的 增加 ,传输 、 存 
储 和 访问 需求 以 及 安全 属性 也 会 增加 。 例 如 ,在 最 低级 
别 , 蓝 色 数据 标签 不 需要 访问 赁 证。 绿色 数据 标签 要 求 
验证 请 求 者 的 电子 邮件 地 址 ,可 能 需要 在 电子 邮件 消息 
中 发 送 一 个 链接 ,请 求 者 必须 响应 该 链接 ;或 者 使 用 密 
码 赁 证 。 从 黄色 数据 标签 起 ,请求 者 必须 签署 数据 使 用 
协议 ,使 用 密码 或 身份 验证 。 红 色 数 据 标签 需要 双 因 素 
授权 ,如 可 能 需要 同时 验证 请 求 者 的 电子 邮件 和 移动 电 
话 号 码 。 利 用 计算 机 ,可 以 实现 数据 标签 自动 化 处 理 ， 
这 有 助 于 实现 科学 数据 安全 的 合理 管控 。 


数据 类 型 样本 


的 科学 数据 


3 级 


2 级 有 限 共享 的 
科学 数据 
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表 3 科学 数据 标签 分 级 模型 


标签 类 别 / 数 据 等 级 标签 描述 


安全 属性 访问 凭证 


红色 /4 级 高 度 机 密 的 科学 数据 
黄色 /3 级 机 密 的 科学 数据 

绿色 /2 级 有 限 共享 的 科学 数据 
蓝 色 /1 级 放 共 享 的 科学 数据 


4.1.3 充分 利用 隐私 增强 技术 ,加 强 科学 数据 机 密 性 
保护 

科学 数据 的 开放 共享 ,使 得 科学 数据 更 加 公开 透 
明 , 可 以 被 科学 研究 者 再 次 利用 ,对 于 营造 良好 的 科学 
研究 环境 有 巨大 的 促进 作用 ,但 也 揭露 了 其 隐匿 性 ,为 
隐私 数据 带 来 了 威胁 。 在 这 种 情况 下 ,潜在 的 侵犯 数 
据 隐私 行为 不 可 避免 地 增加 了 。 这 时 可 利用 隐私 增强 
授 枯 来 降低 数据 隐私 风险 ,增强 数据 机 密 性 保护 。 隐 
秘 增 强 技术 有 多 种 多 样 ,包括 差分 隐私 ,联合 分 析 、 同 
态 贡 密 零 知识 证 明 功能 加 密 , 安 全 多 方 计算 .可 搜索 
加 嘲 . 私 人 信息 检索 .智能 合约 等 。 其 中 差分 隐私 . 同 
准 坝 密 、 零 知识 证 明和 安全 多 方 计算 4 项 技术 尤其 受 


关注。 对 数据 进行 匿名 处 理 虽然 可 以 保护 敏感 数 
握 Y 但 匿名 化 技术 需要 依赖 于 背景 知识 假设 ,这 使 得 往 
第 六 能 保证 单一 数据 集 上 隐私 数据 不 被 泄露 ,无 法 满 


D 


JUR COR PIBETOSE FAORI. ADEME 
ACT. EZERU T A EU P FO o Ds 
二 于 用 于 科学 数据 共享 领域 中 。 差 分 隐私 保护 通过 对 
真品 数据 添加 随机 扰动 ,使 保护 对 象 数据 失真 且 同 时 
保 等 数据 集中 特定 数据 或 数据 属性 (如 统计 特性 等 ) 
不 , 由 此 保证 数据 在 被 干扰 后 仍 具有 一 定 的 可 用 性 
而 爱 现 隐私 保护 的 目的 中。 同 态 加 密 技 术 允 许 对 加 
密 文本 执行 计算 ,加 密 文本 将 生成 一 个 加 密 结果 ,该 结 
果 将 与 使 用 未 加 密 的 原始 数据 得 到 的 结果 一 样 ”。 
这 使 得 一 方面 可 以 不 必 在 传输 科学 数据 的 同时 提供 对 
应 的 密 钥 , 避 兔 了 科学 数据 在 传输 过 程 中 被 拦截 或 窃 
取 所 造成 的 数据 泄露 ; 另 一 方面 可 以 为 科学 研究 过 程 
中 的 实时 合作 提供 契机 ,科学 研究 者 相互 之 间 可 以 共 
享 科 学 数据 而 不 必 担心 原始 数据 泄露 。 零 知识 证 明 与 
同 态 加 密 有 些 类 似 ,都 不 泄露 任何 的 原始 数据 。 这 项 
技术 可 以 验证 信息 是 否 有 效 , 而 无 需 暴露 证 明 该 信息 
的 数据 ”。 这 为 判断 科学 数据 的 使 用 是 否 始终 与 申 
请 敏感 数据 的 初始 目的 保持 一 致 提供 了 可 能 ,可 以 防 
止 敏感 科学 数据 被 滥用 。 安 全 多 方 计算 是 一 种 加 密 协 
议 , 可 在 多 方 之 间 分 配 计算 ,允许 相互 不 信任 的 各 方 在 
其 私有 数据 上 进行 合作 计算 ""。 安 全 多 方 计算 技术 


多 重 加 密 存储 ,机 密 传输 
加 密 存储 .机密 传 输 
明文 存储 与 传输 
明文 存储 与 传输 


双 因 素 认证 ,签署 数据 使 用 协议 
密码 或 身份 验证 ,签署 数据 使 用 协议 
邮箱 或 密码 注册 ,点 击 数据 使 用 协议 


n 


的 实现 并 没有 任何 规定 ,常常 会 用 到 同 态 加 密 、 混 光电 
路 .不经意 传输 等 技术 。 对 于 科学 数据 开放 共享 而 言 ， 
安全 多 方 计算 带 来 的 最 大 神 益 是 满足 并 超过 了 GDPR 
中 对 于 跨 境 数据 传输 的 要 求 ,因为 安全 多 方 计算 可 以 
使 数据 科学 家 和 研究 人 员 能 够 对 分 布 式 数据 进行 合 
规 . 安 全 和 私密 的 计算 ,而 无 需 暴 露 或 移动 它们 。 总 
之 ,隐私 增强 技术 具有 巨大 的 潜力 且 近 年 来 发 展 迅 速 ， 
可 以 为 科学 数据 开放 共享 中 的 数据 机 密 性 保护 提供 文 
持 。 
4.2 面向 数据 完整 性 的 治理 对 策 

在 科学 数据 开放 共享 活动 中 ,常见 的 可 能 对 数据 
完整 性 造成 破坏 的 威胁 主要 有 '” :@ 硬 件 故障 :存储 
设备 或 其 他 计算 机 硬件 故障 可 能 导致 损坏 。@ 配 置 问 
题 : 计 算 系 统 (例如 软件 或 安全 应 用 程序 ) 中 的 配置 错 
误会 损坏 数据 。(@) 人 为 错误 :人 们 会 犯错 误 ,并 可 能 会 
意外 损坏 数据 。@ 传 输 中 的 损坏 :数据 在 传输 到 存储 
设备 或 通过 网 络 传输 时 可 能 会 损坏 。@@ 故 意 破 坏 : 人 
或 软件 侵入 计算 机 并 更 改 数据 。 这 5 类 威胁 源 自 数据 
管理 不 善 数据 保护 不 周 、 相 关 技术 缺失 等 。 因 此 ,可 
以 通过 建立 数据 保护 官制 度 、 实 施 数据 保护 影响 评估 、 
运用 数据 认证 技术 来 加 强 数据 完整 性 问题 治理 。 
4.2.1 建立 数据 保护 官制 度 

为 了 加 强 数据 安全 管理 与 保护 ,CDPR 明确 要 求 
进行 数据 处 理 的 政府 部 门 或 公共 机 构 、 以 大 规模 数据 
处 理 作为 核心 业务 (包括 对 数据 进行 定期 常态、 系统 
监测 和 处 理 ) 的 机 构 .拥有 250 名 或 以 上 员工 的 企业 设 
立 数 据 保 护 官 (data protection officer, DPO) Kj ft> DPO 
是 负责 监督 某 个 组 织 的 数据 保护 战略 及 其 实施 ,并 确 
保 该 组 织 遵 守 数 据 保护 法 律 法 规 要 求 的 官员 。DPO 的 
职责 包括 但 不 限于 “”-“ :人 起 草 、 审 查 和 更 新 数据 保 
护 政策 。@) 为 可 能 影响 多 个 部 门 使 用 个 人 数据 的 决策 
提供 重点 ,包括 进行 数据 保护 (或 隐私 ) 影响 评估 。 
@ 与 负责 组 织 内 相关 事务 和 职能 的 其 他 适当 人 员 协 
调 。@ 管 理 个 人 数据 处 理 业 务 可 能 出 现 的 任何 风险 ， 
同时 考虑 到 处 理 的 性 质 .范围 .背景 和 目的 。 名 持续 进 
行 控制 评估 以 确保 遵守 关键 数据 保护 程序 。@@ 以 适当 
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方式 处 理 和 管理 与 个 人 数据 保护 有 关 的 查询 和 来 自 数 
据 主体 的 投诉 ,包括 本 组 织 为 处 理 投诉 而 应 采取 的 任 
何 行动 。@) 制 定 、 审 查 与 修订 以 电子 或 非 电子 形式 处 
理 个 人 数据 的 政策 ,过程 与 程序 。@@ 促 进 员工 之 间 的 
数据 保护 文化 和 问 责 制 ,并 向 利益 相关 者 传达 个 人 数 
据 保护 政策 。@ 确 保 遵守 数据 保护 法 ,在 个 人 数据 保 
护 政策 实施 过 程 中 落实 监管 机 构 的 反馈 。 中 直接 向 董 
事 会 报告 ,并 与 数据 监管 机 构 合作 。 

为 此 ,DPO 必须 具备 相关 的 法 律 知识 与 专业 技 
能 :熟悉 并 了 解 相 关 数 据 保护 的 法 律 和 实践 , 特 
别 是 对 敏感 数据 的 法 律 保护 要 求 。@@ 熟 悉数 据 控制 者 
或 数据 处 理 者 处 理 数据 的 业务 流程 和 内 容 ,了 解 其 服 
务 机 构 的 业务 性 质 与 组 织 机 构 。@ 熟 悉数 据 信息 系统 
和 数据 安全 保护 的 相关 技术 ,以 更 好 地 保护 个 人 数据 
隐 稳 和 安全 。@ 能 够 在 其 服务 机 构 内 倡导 与 培育 数据 
保护 的 组 织 文化 ,促使 员工 遵守 数据 安全 保护 法 规 与 
Dr 
加 数据 控制 者 或 数据 处 理 者 可 以 聘用 内 部 员工 或 外 
部 椰 构 或 个 人 担任 DPO ,但 无 论 是 内 聘 还 是 外 聘 DPO, 
都 要 签订 数据 保护 服务 合同 。 同 一 DPO 可 以 在 多 个 
桃 司 任 职 ,只 要 能 够 胜任 工作 , 且 便于 联络 监管 机 构 、 


一 种 评估 和 记录 相关 数据 处 理 活 动 、 确 定 活动 的 风险 
和 减轻 或 消除 这 些 风险 机 会 的 系统 方法 “ 。DPIA 还 
可 以 作为 一 种 工具 帮助 人 们 确定 最 有 效 的 方式 来 遵守 
数据 保护 法 定义 务 和 满足 人 们 对 隐私 保护 的 期 望 ”。 
DPIA 对 象 是 那些 对 自然 人 的 权利 和 自由 会 产生 高 风 
险 的 数据 处 理 行 为 ,包括 数据 收集 .记录 LH ZR LEA 
存储 .修改 ,恢复 查询 ,披露 传播 .分 发 使用、 清除 或 
销毁 等 。 由 于 这 些 数 据 处 理 行为 往往 涉及 数据 的 机 密 
性 ,完整 性 和 可 用 性 问题 ,因而 ,通过 实施 DPIA 有 助 于 
实现 数据 安全 治理 。DPIA 流程 包括 如 下 3 个 阶 
Eg». 

(1) 准 备 阶 段 。 该 阶段 的 主要 任务 是 :中 考虑 是 
否 有 必要 实施 DPIA, GDPR 要 求 数据 控制 者 在 数据 处 
理 给 自然 人 的 权利 和 自由 带 来 高 风险 时 必须 实施 
DPIA。 为 了 更 好 地 实施 科学 数据 开放 共享 中 的 数据 
安全 治理 ,特别 是 在 存在 数据 泄露 数据 侵权 数据 安 
全 隐患 时 ,也 应 该 实施 DPIA。 四 计划 DPIA ,包括 定义 
DPIA 范围 ,成 立 DPIA 小 组 。@ 识 别 数据 处 理 要 求 与 
细节 。DPIA 小 组 或 数据 控制 者 必须 识别 与 了 解数 据 
处 理 的 目标 是 什么 ?数据 覆盖 哪些 学 科 与 地 理 区 域 ? 
哪些 数据 将 被 收集 或 处 理 ? 是 否 包 括 特殊 类 型 数据 或 


聘 全 单位 和 数据 主体 。 此 处 的 同一 数据 保护 官 可 以 是 
个 入 ,也 可 以 是 专门 从 事 数据 保护 的 专业 机 构 。 为 促 
fli-DPO 更 好 地 履行 其 职责 ,DPO 聘用 机 构 或 数据 控制 
逢 数据 处 理 者 需要 为 DPO 提供 必要 的 支持 ,比如 : 提 
供 懂 职 的 资金 和 基本 工作 条 件 , 若 有 需要 设立 DPO 团 
也 7 保证 DPO 在 履 职 期 间 不 被 解雇 ;要 求职 能 部 门 给 
DRO 履 职 提供 支持 ; 保证 DPO 有 充分 的 时 间 履 行 职 
责 ; 授 权 DPO 处 理 机 构 数据 库 或 个 人 数据 库 中 的 各 项 
数据 ;鼓励 DPO 参加 各 项 培训 。 

建立 上 述 DPO 制度 ,不仅 可 以 加 强 组 织 内 部 数据 
监管 ,降低 数据 侵权 风险 ,而 且 可 以 增强 数据 安全 治 
理 。 虽 然 GDPR 要 求 欧盟 成 员 设置 DP0 ,但 是 DPO y 
今 为 止 还 没有 写 人 我 国 现行 法 律 中 。 针 对 科学 数据 开 
放 共享 中 的 数据 安全 问题 ,我 国 公共 机 构 ,研究 机 构 以 
及 大 型 与 中 型 企业 应 该 借鉴 国外 经 验 ,对接 国际 标准 ， 
建立 DPO 制度 ,设置 专门 的 DPO 岗位 ,发 挥 DPO 在 数 
据 安全 治理 上 的 重要 作用 ,以 便 更 好 地 实施 科学 数据 
安全 治理 。 
4.2.2 ”实施 数据 保护 影响 评估 

数据 保护 影响 评估 (data protection impact assess- 
ment,DPIA) 是 一 个 旨 在 帮助 人 们 系统 地 分 析 、 识 别 项 


目 或 计划 的 数据 保护 风险 并 将 其 最 小 化 的 过 程 ,也 是 


敏感 信息 ” 如 何 和 从 哪里 收集 这 些 数据 ? 这些 数据 将 
于 何 处 ?将 如 何 处 理 这 些 数据 ?数据 格式 、 标 准 与 
适用 软件 或 系统 是 什么 ?数据 是 匿名 的 还 是 假名 的 ? 
数据 将 如 何 保存 或 销毁 ? 数据 要 保留 多 长 时 间 ? 数据 
共享 的 方式 \ 范 围 与 对 象 是 什么 ?用 户 是 否 知情 同意 
使 用 他 们 的 数据 ? 相关 的 数据 安全 行业 标准 ,行为 准 
则 或 公共 指南 有 哪些 ?突出 的 数据 安全 问题 有 哪些 ? 
识别 有 关 的 行动 者 ,包括 数据 控制 者 .开发 者 、 组 织 
者 、 处 理 者 、 使 用 者 和 其 他 利益 相关 者 。 名 识别 相关 法 
律 要 求 ,比如 CDPR .我国 《 网 络 安全 法 》 和 《科学 数据 
管理 办 法 》 对 数据 安全 保护 的 规制 。@@ 以 标准 化 程序 
方式 记录 准备 阶段 的 结果 ,包括 相关 任务 和 问题 。 
(2) 评 估 阶 段 。 该 阶段 的 主要 任务 是 :中 确定 基 
于 数据 安全 保护 目标 的 评价 标准 , 即 按照 数据 安全 保 
护 目 标 一 一 数据 的 机 密 性 、 完 整 性 和 可 用 性 的 要 求 设 
置 评价 标准 。 比 如 ,从 机 密 性 要 求 来 看 ,数据 安全 保护 
评价 标准 必须 确保 未 经 授权 的 数据 访问 是 不 允许 的 ; 
从 完整 性 要 求 来 看 ,数据 安全 保护 评价 标准 必须 确保 
要 处 理 的 数据 是 完整 无 缺 的 和 最 新 的 ,是 未 经 修改 的 、 
真实 的 和 正确 的 数据 ;从 可 用 性 要 求 来 看 ,数据 安全 保 
护 评价 标准 必须 确保 相关 数据 是 可 用 的 、 可 理解 的 和 
可 及 时 处 理 的 , 即 数据 必须 可 被 授权 方 访问 和 用 适当 
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的 方法 进行 处 理 。@ 识 别 数据 安全 风险 来 源 与 种 类 ， 
其 中 ,风险 可 能 来 自 于 数据 本 身 、 数 据 处 理 过程 .数据 
处 理 系统 与 方法 等 多 方面 。@ 确 定 干预 程度 与 保护 水 
平 ,设置 正常 .高 和 非常 高 3 个 等 级 的 保护 标准 。@ 评 
估 安 全 风险 , 即 对 数据 处 理 行为 涉及 数据 的 机 密 性 、 完 
整 性 和 可 用 性 问题 ,从 数据 本 身 、 数 据 处 理 过 程 .数据 
处 理 系统 与 方法 维度 分 别 进 行 安全 风险 评估 。@@ 确 定 
合适 的 安全 保障 措施 ,比如 :采用 数据 加 密 技 术 ;限制 
写 权限 ;比较 散 列 值 ;定期 检查 数据 完整 性 ;设置 最 小 
与 最 大 参考 值 等 。@ 实 施 已 确定 的 安全 保障 措施 ,不 
过 ,在 实施 前 需要 说 明 这 些 措施 符合 数据 安全 保护 法 
(如 GDPR) 要 求 。@ 测 试 和 记录 评价 结果 ,包括 安全 
保障 措施 的 有 效 性 。@ 制 作 DPIA 报告 。 
本 (3) 复审 阶段 。 在 形成 DPIA 报告 后 ,数据 监管 机 
MISERE S E DPIA 报告 以 确保 预期 的 安全 保障 
措施 得 到 实际 执行 。 当 数据 处 理 造成 的 风险 发 生变 化 
HER ROSE DPIA 进行 复审 ,确保 所 采用 的 安全 保障 措 
施 本 够 适应 这 些 变 化 并 得 到 持续 监督 ,使 数据 安全 有 
> 


fi. 
运用 数据 认证 技术 


到 疑似 侵权 等 问题 时 可 以 通过 算法 把 水 印信 息 提 取出 
来 ,从 而 证 明 数字 产品 是 否 被 算 改 或 者 伪造 ， 。 数 据 
水 印 技术 根据 其 敏感 性 可 以 将 其 分 为 脆弱 水 印 和 半 脆 
弱 水 印 。 脆 弱 水 印 非常 敏感 ,主要 用 于 精准 认证 。 在 
科学 数据 开放 共享 中 ,可 以 被 应 用 于 对 十 分 敏感 的 多 
媒体 文件 的 共享 ,即使 共享 数据 发 生 了 一 个 比特 信息 
的 改变 ,认证 也 将 无 法 通过 。 半 脆弱 水 印 则 具有 更 强 
的 适用 性 ,只 要 内 容 真实 完整 ,在 一 定 程度 上 允许 常规 
处 理 操 作 , 且 能 把 正常 的 信号 处 理 与 恶意 算 改 区 别 对 
待 。 因 此 ,可 以 采用 半 脆 弱 水 印 来 实施 科学 数据 的 版 
权 保护 和 内 容 验证 ,以 确保 数据 的 完整 性 。 
4.3 面向 数据 可 用 性 的 治理 对 策 

一 项 欧洲 研究 发 现 ,要 衡量 整个 欧洲 区 域 健康 不 
平等 在 很 大 程度 上 取决 于 区 域 一 级 可 靠 和 可 比 数据 的 
可 用 性 ;消除 “数据 差距 ”是 消除 欧盟 国家 之 间 和 欧盟 
国家 内 部 “健康 差距 ”的 条 件 '“ 。 科 学 数据 的 可 用 性 
对 于 其 他 行业 如 航空 工业 aas Tp 等 的 发 展 同 
样 至 关 重 要 。 在 科学 数据 开放 共享 中 ,科学 数据 管理 
政策 .科学 数据 质量 、 开 放 共 享 平台 等 都 能 影响 科学 数 
据 的 可 用 性 。 因 此 ,可 以 采取 制定 科学 数据 可 用 性 政 


必 ] 数 据 认证 技术 可 以 用 来 解决 某 些 数据 完整 性 问 
题 - 陛 如 数据 失真 ,数据 造假, 数据 损害 数据 算 改 , 数 
据 卖 失 等 。 常 用 的 数据 完整 性 认证 技术 主要 有 :基于 
传统 密码 学 的 认证 与 基于 数字 水 印 技术 的 认证 。 
期 息 , 传 统 密码 学 方法 主要 通过 哈 希 函数 产生 数字 答 
名 @ 以 该 签名 作为 认证 信息 实现 数据 判定 。 数 字 签 名 
也 称 电子 签名 ,1S0 7498 - 2 标准 将 其 定义 为 “附加 在 
数据 单元 上 的 一 些 数据 ,或 是 数据 单元 所 做 的 密码 变 
换 , 这 种 数据 变换 允许 数据 单元 的 接收 者 可 以 确认 数 
据 单元 的 来 源 和 数据 单元 的 完整 性 ,并 保护 数据 ,防止 
他 人 伪造 "5 。 在 科学 数据 共享 活动 中 ,数字 签名 可 
进行 身份 验证 以 确保 已 接受 到 的 原始 数据 的 发 送 者 保 
持 不 变 。 它 易于 运输 ,不 能 被 其 他 人 复制 ,并 且 可 以 自 
动 加 盖 时 间 稚 ,在 消息 发 送 之 后 ,发 送 者 以 后 也 无 法 轻 
易 修改 它 。 数 字符 名 可 用 于 多 种 类 型 的 数据 传递 ,无 
论 是 否 经 过 加 密 ,都 可 以 使 接收 者 确定 发 送 者 的 身份 
并 确保 数据 完整 无 缺 “!。 但 该 技术 也 有 其 不 足 , 当 数 
据 发 生 必要 的 修改 时 , 则 必须 抛弃 原 有 的 签名 并 重新 
计算 签名 ,这 将 耗费 较 多 的 时 间 。 

相对 而 言 , 基 于 数字 水 印 技术 的 数据 认证 则 具有 
更 强 的 包容 性 和 抗 干扰 能 力 。 所 谓 数字 水 印 技术 是 指 
在 载体 中 嵌入 一 些 信息 ,如 作者 身份 .时 间 截 .产品 属 
性 等 ,水 印 的 存在 形式 可 以 是 文字 FUE ,数列 等 , 当 遇 


策 或 发 布 数据 可 用 性 声明 ,提高 科学 数据 质量 、 建 立 科 
学 数据 统一 开放 共享 平台 等 多 项 措施 来 增强 数据 可 用 
性 ,以 实现 数据 安全 治理 的 目的 。 
4.3.1 制定 科学 数据 可 用 性 政策 或 发 布 数据 可 用 性 
声明 

在 开放 数据 运动 中 ,许多 政府 机 构 ,研究 机 构 和 出 
版 社 制 定 了 本 机 构 数 据 可 用 性 政策 或 发 布 数据 可 用 性 
声明 ,以 促进 科学 数据 的 开放 共享 与 利用 。2019 年 12 
月 23 日 ,美国 管理 和 预算 办 公 室 ( Office of Management 
and Budget, OMB) 发布 了 《联邦 数据 战略 与 2020 年 行 
动 计划 》。“ 将 数据 作为 战略 资产 加 以 利用 ”成 为 该 战 
略 的 核心 目标 。 为 此 ,该 战略 要 求 按照 承担 责任 (如 实 
施 有 效 的 数据 管理 和 治理 .采用 可 靠 的 数据 安全 措施 、 
保护 个 人 私 隐 保持 承诺 的 机 密 性 、 确 保 适 当 的 访问 与 
使 用 ) .促进 透明 度 .确保 相关 性 (如 保护 数据 的 质量 
和 完整 性 ,确认 数据 是 适当 的 、 准 确 的 、 客 观 的 、 可 获得 
的 .有 用 的 、 可 理解 的 和 及 时 的 ) 等 10 项 原则 ,开展 3 
类 40 项 数据 管理 实践 ,包括 :中 建立 重视 数据 和 促进 
数据 公共 使 用 的 文化 ,如 支持 数据 使 用 、 使 用 数据 来 指 
导 决 策 .准备 共享 . 跨 机 构 连接 数据 功能 等 ;@ 控 制 E 
理 与 保护 数据 ,如 保护 数据 完整 性 传递 数据 的 真实 
性 为 数据 资产 开 列 清单 确认 数据 资产 的 价值 、 维 护 
数据 文档 ,利用 数据 标准 、 与 数据 管理 需求 保持 一 致 、 
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加 强 数 据 保 护 以 及 在 州 .地方 .部落 政府 和 联邦 机 构 之 
间 共 享 数 据 等 ;3 促进 有 效 和 适当 的 数据 使 用 ,如 促进 
广泛 的 访问 、 审 查 数 据 发 布 是 否 存在 披露 风险 等 ”。 
由 此 看 来 ,该 战略 不 仅 从 国家 层面 提供 了 如 何 管理 与 
使 用 联邦 政府 数据 的 指南 ,而 且 为 联邦 政府 数据 的 可 
用 性 提供 了 保障 ,有 助 于 提升 联邦 政府 数据 的 可 用 性 ， 
促进 数据 共享 。 
发 布 数据 可 用 性 声明 往往 成 为 许多 出 版 社保 障 数 
据 可 用 性 的 首要 选择 。 一 些 研究 资助 者 ,如 英国 研究 
理事 会 等 ,要 求 在 出 版 物 中 包含 数据 可 用 性 声明 。《 自 
然 ) 鼓 励 通 过 不 同方 式 来 提供 数据 可 用 性 声明 ,比如 : 
在 当前 研究 中 生成 和 /或 分 析 的 数据 集 可 以 在 《自然 》 
指定 的 存储 库 中 获得 ;在 当前 研究 中 产生 和 /或 分 析 的 
数据 集 可 在 合理 请 求 下 从 通讯 作者 处 获得 ;本 研究 中 
产 年 或 分 析 的 所 有 数据 均 包含 在 本 文 及 其 补充 文档 
4 的 计 于 存在 数据 不 bE 公开 的 原因 ,通讯 作者 可 以 在 合 
和 来 下 提供 当 前 研究 中 产生 和 /或 分 析 的 数据 
>P 其 他 世界 顶级 期 刊 往往 也 提供 数据 可 用 性 声 
明 来 助力 开放 科学 研究 和 确保 科学 数据 的 可 发 现 .可 
Aem 重用 ”。 总 之 ,制定 科学 数据 可 用 性 政策 或 发 
PUR 性 声明 有 助 于 增强 科学 数据 的 可 用 性 ,从 
TS LT Se Ach 理 。 
Sb 提高 科学 数据 质量 
二 已 有 研究 证 实 ,数据 质量 与 数据 可 用 性 之 间 存 在 
LN 。 也 就 是 说 ,通过 提高 数据 质量 可 以 有 
Mdb ame. 方面 ,反映 数据 质量 的 属性 
有 区 种 多 样 , 比 如 准确 性 机密 性 ,完整 性 ,可 用 性 ,一 
Sip. 及 时 性 ,关联 性 有 效 性 等 。 可 用 性 虽然 仅 是 数 
据 质量 的 一 种 属性 ,但 是 它 与 其 他 数据 质量 属性 都 有 
内 在 联系 。 因 此 ,增强 科学 数据 的 可 用 性 可 以 从 提高 
数据 的 多 方面 属性 入 手 。 男 一 方面 ,数据 质量 与 数据 
的 生产 \ 收 集 、 组 织 、 存 储 、 发 布 (或 出 版 ) 都 有 紧密 联 
系 。 共 享 是 数据 生命 周期 中 的 重要 一 环 , 本 身 包含 收 
4E .组 织 ,发布 ,传播 和 利用 等 过 程 “” 。 科 学 数据 开放 
共享 主要 包括 科学 数据 的 开放 发 布 . 开 放 获 取 、 开 放 存 
储 、 开 放 利用 。 因 此 ,在 科学 数据 开放 共享 过 程 中 , 提 
高 科学 数据 质量 需要 关注 开放 共享 过 程 。 此 外 ,科学 
数据 是 人 们 在 各 项 科学 研究 、 生 产 与 管理 实践 中 产生 
的 ,与 数据 的 生产 者 组织 者 ,发布 者 \ 传 播 者 、 管 理 者 、 
利用 者 都 有 直接 关系 。 因 此 ,提高 科学 数据 质量 需要 
考虑 利益 相关 者 的 全 员 参 与 。 总 而 言 之 ,迫切 需要 实 
施 全 面 数据 质量 管理 (total data quality management， 
TDQM) 来 增强 数据 的 可 用 性 。 


= 


«ed 是 运用 全 面 质量 管理 思想 对 数据 或 数据 产 
品 进行 有 效 管理 以 提高 其 质量 与 效用 的 一 种 管理 方 
法 。 ptas 77 , 可 以 构建 TDQM 流程 ( 见 表 
4) 以 提高 数据 质量 。 在 TDQM 实施 过 程 中 ,至 关 重 要 
的 是 :中 定义 科学 数据 质量 需求 ,特别 是 数据 的 准确 
性 机密 性 完整 性 .可 用 性 一致 性 、 及 时 性 .关联 性 、 
有 效 性 等 ,以 便 根据 这 些 质量 需求 实施 全 面 质量 管理 
DHA TDQM 的 利益 相关 者 ,比如 数据 的 生产 者 .供应 
d HEU es ,管理 者 与 使 用 者 ,以便 实 现 利 益 相 
关 者 的 全 员 管 理 。 思 逐一 执行 TDQM 流程 ,实施 螺旋 
递 进 式 的 TDQNM 循环 ,从 而 不 断 提高 包括 可 用 性 在 内 
的 数据 质量 。 由 明确 数据 质量 管理 中 的 数据 治理 任 
务 ,为 数据 质量 建立 数据 治理 框架 ,从 而 确保 TDQM 的 


顺利 实施 。 
表 4 TDQM 流程 
阶段 流程 实现 步 又 
定义 阶段 ”步骤 1: 建 立 TDQM 团队 ,确定 利益 相关 者 


步骤 2: 确 定数 据 产品 特征 与 数据 产品 属性 特征 
步骤 3 :确定 数据 质量 需求 ,包括 确定 重要 的 数据 质量 维度 
步骤 4: 确 定数 据 质量 管理 中 的 数据 治理 任务 


步 又 5 :确定 数据 质量 测量 指标 
步 又 6: 度 量 和 呈现 数据 质量 ,以 帕 累 托 图 显示 结果 
步 又 7: 描 述 具体 问题 :根据 测量 结果 描述 具体 的 数据 质量 问题 
步骤 8: 分 析 问 题 :与 整个 质量 团队 一 起 绘制 原因 图 来 分 析 问 题 
步 又 9 :形成 解决 方案 :针对 质量 问题 思考 可 能 的 解决 方案 
步 又 10 :选择 解决 方案 :根据 事先 确定 的 度量 标准 对 备 选 方案 
进行 评分 ,并 选择 

步骤 11 :实施 数据 质量 改进 行动 计划 :为 
任务 来 实施 解决 方案 

步骤 12 :持续 改进 :检查 行动 计划 进展 ,持续 改进 数据 质量 ， 
展 新 一 轮 的 TDQM 


分 析 阶 段 


改进 阶段 


团队 成 员 分 配 特定 的 


4.3.3 构建 基于 数据 联盟 的 国家 科学 数据 中 心 
科学 数据 开放 共享 平台 在 提供 可 利用 的 科学 数据 
方面 具有 无 可 替代 的 关键 作用 。 我 国 于 2017 年 已 经 
建成 包括 “国家 人 口 与 健康 科学 数据 共享 服务 平台 ” 
等 在 内 的 8 个 国家 科学 数据 共享 平台 ,又 于 2019 年 在 
原 有 科学 数据 类 国家 平台 的 基础 上 提出 了 建设 包括 
“国家 高 能 物理 科学 数据 中 心 ” 等 在 内 的 20 个 国家 科 
学 数据 中 心 ,并 把 其 作为 优化 调整 国家 科技 资源 共享 
服务 平台 完善 科技 资源 共享 服务 体系 .推动 科技 资源 
向 社会 开放 共享 的 战略 选择 。 不 过 ,在 我 国 科 学 数据 
共享 平台 建设 过 程 中 ,一 些 平台 存在 数据 可 获取 性 与 
引用 率 较 低 的 问题 。 如 今 的 国家 高 能 物理 科学 数 
据 中 心 .国家 基因 组 科学 数据 中 心 等 国家 科学 数据 中 
心 虽然 在 特定 的 学 科 领 域 可 以 为 注册 人 员 提 供 科学 数 
据 的 访问 ,但 是 并 没有 实现 科学 数据 的 开放 共享 。 更 
何况 这 些 国家 科学 数据 中 心 彼此 之 间 没 有 建立 关联 ， 
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更 没有 集成 起 来 形成 统一 的 “国家 科学 数据 中 心 ”。 
因此 ,这 些 中 心 的 科学 数据 仍 存 在 可 用 性 不 高 的 问题 。 

不 同 于 国内 科学 数据 中 心 ,由 莫 纳 什 大 学 牵头 , 联 
合 澳大利亚 国立 大 学 .联邦 科学 与 技术 研究 组 织 
( Commonwealth Scientific and Industrial Research Organi- 
sation, CSIRO ) 组 建 的 澳大利亚 国家 数据 服务 中 心 
( Australian National Data Service, ANDS ) 不仅 负责 管理 
澳大利亚 的 科学 数据 ,而 且 通 过 下 属 的 “澳大利亚 研究 
数据 ”( Research Data Australia) 门户 开放 共享 来 自 100 
多 个 澳大利亚 研究 机 构 ,政府 机 构 和 大 学 的 研究 数据 ， 
涵盖 自然 科学 .社会 科学 .艺术 和 人 文学 科 等 多 学 科 领 
域 ”。 它 是 一 种 基于 数据 联盟 的 运营 模式 ,在 提高 科 
学 数据 的 可 用 性 与 开放 性 方面 树立 了 成 功 的 典范 。 这 
种 模式 实质 上 是 国家 科学 数据 中 心 (或 国家 科学 数据 
KEFR) 联合 不 同 科学 数据 的 生产 者 提供 者 、 组 织 
卷 效 理 者 组 成 科学 数据 联盟 ,共同 参与 科学 数据 的 共 
襄 芭 利用 活动 中。 用 户 通过 国家 科学 数据 中 心 ( 或 国 
家 种 学 数据 共享 平台 ) 不 仅 可 以 访问 该 中 心 拥有 的 各 
旦 可 以 利用 国家 科学 数据 共享 平台 建 


时 学 数据 ,从 而 极 大 促进 科学 数据 的 开 
族 送 享 。 因 此 ,通过 构建 基于 数据 联盟 的 国家 科学 数 
扰 才 心 , 有 助 于 解决 目前 我 国 科学 数据 可 用 性 水 平 不 
高 的 问题 ,改善 科学 数据 的 安全 治理 。 


= 


5>< 结 语 
tS 


S 保 障 数据 安全 是 实施 科学 数据 开放 共享 不 可 回避 
的 英 键 问题 。 科 学 数据 开放 共享 中 的 数据 安全 问题 集 
中 怀 现 在 数据 机 密 性 问题 .完整 性 问题 和 可 用 性 问题 
3 个 方面 , 亟 需 从 法 律 .政策 制度、 管理 、 技 术 与 平台 
等 维度 采取 多 种 数据 安全 治理 措施 来 处 理 这 些 问题 ， 
从 而 构建 科学 数据 开放 共享 的 数据 安全 治理 体系 。 不 
过 ,本 文 提 出 的 观点 仍 停留 在 理论 探讨 上 ,还 需 在 实践 
中 进一步 验证 与 完善 ,由 此 实现 有 效 治理 我 国 科学 数 
据 开 放 共享 中 的 数据 安全 问题 和 提高 我 国 数据 治理 水 
平 与 国家 治理 能 力 的 目的 。 
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ic data, and puts forward corresponding governance countermeasures , so as to promote the practice of open sharing of 
scientific data in China better. | Method/process | By means of normative analysis, this paper analyzed and defined 
the data security problems in the open sharing of scientific data, and then discussed the governance measures for the 
security of scientific data from the three dimensions of confidentiality, integrity and availability. | Result/conclu- 
sion | There are a lot of security problems in data confidentiality , integrity and availability in the open sharing of sci- 
entific data. The problems of data confidentiality can be governed by three measures including strengthening data se- 
curity legislation, establishing scientific data classification standards and systems, and making full use of privacy en- 
hancing technologies. The problems of data integrity can be governed by three measures including establishing a data 
protection officer system, implementing data protection impact assessment, and using data authentication technolo- 
gies 
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